IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Android : des chercheurs transforment les accéléromètres en key-logger


Sujet :

Sécurité

  1. #1
    Expert éminent sénior

    Inscrit en
    Juillet 2009
    Messages
    3 407
    Détails du profil
    Informations forums :
    Inscription : Juillet 2009
    Messages : 3 407
    Points : 149 059
    Points
    149 059
    Par défaut Android : des chercheurs transforment les accéléromètres en key-logger
    Android : des chercheurs transforment les accéléromètres en espions
    Capables d’enregistrer des suites de chiffres comme ceux des codes PIN


    Un professeur et un doctorant de l’Université de Pennsylvanie, accompagnés d’un chercheur d’IBM ont développé une preuve de faisabilité (PoC) particulièrement ingénieuse pour mettre au jour une faille de sécurité d’Android qui pourrait s’avérer particulièrement embarrassante.

    L’idée générale est d’utiliser l’accéléromètre et les capteurs de mouvements pour déterminer quelle touche tape l’utilisateur sur son écran. Le « truc » vient du fait qu’à chaque fois qu’une « touche » est choisie sur l’écran tactile, le smartphone bouge légèrement dans un sens ou dans l’autre.

    Inefficace pour un clavier entier, la méthode s’avère redoutable pour les chiffres.

    Baptisé TapLogger, ce Proof of Concept a par exemple été capable d’enregistrer des codes PIN ou des suites de chiffres lors de transactions bancaires téléphoniques.



    Les trois experts soulignent que l’accès à l’accéléromètre et au capteur de mouvements n’est pas protégé et qu’il peut donc se faire sans aucune demande d’autorisation à l’utilisateur.

    L’exploitation de ces outils dans le cadre d’actions malicieuses pourrait se développer si rien n’est fait pour les sécuriser. « Alors que les applications qui reposent sur les capteurs de mouvement sont en plein boom, leurs implications pour la sécurité et la vie privée ne sont pas encore bien comprises », constatent les auteurs du PoC.



    TapLogger nécessite une phase d’apprentissage pour affiner l’identification des touches. Dans ce prototype, cette phase est rendue possible par la nature même de l’application dans laquelle il se cache.

    Celle-ci demande à l’utilisateur d’interagir avec l’écran (dans le cadre d’un jeu par exemple) ce qui lui permet d’observer et d’analyser les orientations de l’appareil en fonction des résultats escomptés. Plus le possesseur du téléphone l’utilise, plus l’acuité de TapLogger s’améliore.

    Au final, cette preuve de faisabilité n’est pas la première à utiliser ce type de technique. Mais elle est une des plus efficaces avec des taux de réussite tournant autour des 90 %.

    Si elle cible particulièrement Android, les trois experts précisent que l'attaque pourrait parfaitement réussir sur iOS et BlackBerry. « Pourrait », car deux limitations existent actuellement.

    iOS ne supporte en effet pas le multitâche (pas encore ?). TapLogger ne pourrait donc pas fonctionner en tache de fond fantôme.

    Quant à BlackBerry, la plupart des modèles sont équipés d’un clavier physique, ce qui les met à l’abri. En tout cas jusqu’à la prochaine démonstration de l’équipe qui promet de se pencher plus particulièrement sur le cas du constructeur canadien. Sans oublier que RIM, la société derrière ces téléphones, prend elle aussi le virage du tactile.

    TapLogger a donc de quoi faire réfléchir Google, et plus largement tous ses concurrents éditeurs d’OS mobiles.


    Le « paper » des développeurs de TapLogger sur le site de l’Université de Pennsylvanie (PDF)

    Et vous ?

    Impressionné(e) par ce PoC ?

    Faut-il « durcir » l’accès à l’accéléromètre et aux différents capteurs des smartphones ?

  2. #2
    Expert confirmé

    Profil pro
    Inscrit en
    Février 2006
    Messages
    2 376
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Février 2006
    Messages : 2 376
    Points : 4 928
    Points
    4 928
    Par défaut
    Citation Envoyé par Gordon Fowler Voir le message
    Faut-il « durcir » l’accès à l’accéléromètre et aux différentes capteurs des smartphones ?
    entre les players multimédia demandant l'accès à la liste de contact, les métronomes demandant un accès un internet, bref des applications demandant des droits qu'ils n'ont pas la légitimité d'en faire usage, les utilisateurs que je connais cliquent systématiquement sur autoriser, malheureusement, il y aurait déjà du ménage à faire avant de penser aux capteurs ...

  3. #3
    Membre expérimenté Avatar de nchal
    Homme Profil pro
    Étudiant
    Inscrit en
    Avril 2012
    Messages
    512
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 31
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2012
    Messages : 512
    Points : 1 654
    Points
    1 654
    Par défaut
    Citation Envoyé par Gordon Fowler Voir le message
    Impressionné(e) par ce PoC ?
    Effectivement, sa à l'air simple comme ça mais il faut avoir l'idée.
    Mais je suis beaucoup plus impressionner par :

    Citation Envoyé par Gordon Fowler Voir le message
    iOS ne supporte en effet pas le multitâche
    iOS ne prend pas le multi-tâche ? Je suis vraiment étonné. (en fait, pas trop car je ne peux pas voir Apple mais c'est un autre débat )
    Si la réponse vous convient, un petit ça encourage.
    Avant tout nouveau post, pensez à : la FAQ, Google et la fonction Recherche
    Si vous devez poster, pensez à: Ecrire en français, la balise [CODE] (#) et surtout

  4. #4
    Expert éminent
    Avatar de transgohan
    Homme Profil pro
    Développeur Temps réel Embarqué
    Inscrit en
    Janvier 2011
    Messages
    3 146
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Temps réel Embarqué

    Informations forums :
    Inscription : Janvier 2011
    Messages : 3 146
    Points : 9 386
    Points
    9 386
    Par défaut
    Belle technique, fallait y penser...

    iOS ne supporte pas le multi-tâche ? On perd de beaucoup l'intérêt alors de le mettre sur des téléphones à double coeur. Ou alors c'est en prévision d'une future grosse maj de l'os...

    « Toujours se souvenir que la majorité des ennuis viennent de l'espace occupé entre la chaise et l'écran de l'ordinateur. »
    « Le watchdog aboie, les tests passent »

  5. #5
    Membre éprouvé

    Homme Profil pro
    Développeur .NET
    Inscrit en
    Juin 2011
    Messages
    487
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : Finance

    Informations forums :
    Inscription : Juin 2011
    Messages : 487
    Points : 945
    Points
    945
    Par défaut
    De mémoire, iOS est bel et bien multi tache. La seule restriction est que les développeurs ne peuvent pas l'exploiter et seuls l'OS et les applis Apple le peuvent.

    Ca me choque un peu que l'idée ne sorte que maintenant, mais après peut être que le PoC est assez complexe à metre en oeuvre.

    entre les players multimédia demandant l'accès à la liste de contact, les métronomes demandant un accès un internet, bref des applications demandant des droits qu'ils n'ont pas la légitimité d'en faire usage, les utilisateurs que je connais cliquent systématiquement sur autoriser, malheureusement, il y aurait déjà du ménage à faire avant de penser aux capteurs ...
    C'est le premier truc qui m'est venu a l'esprit. Je pense que la meilleure parade est de secouer le portable dans tous les sens quand on tape un code confidentiel. Je sens qu'on va avoir l'air malin à taper son PIN dans les transports en commun ...
    Mon blog sur les technos .NET et Agile -> http://blog.developpez.com/maximepalmisano/

  6. #6
    Membre éprouvé
    Profil pro
    Inscrit en
    Juillet 2010
    Messages
    657
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : Juillet 2010
    Messages : 657
    Points : 1 240
    Points
    1 240
    Par défaut
    Une technique simple pour contrer ce hack serait de rendre l'ordre d'affichage des numéros aléatoire. Dans le cadre d'un déblocage avec pin , or la rédaction d'un mot de passe par exemple.

  7. #7
    En attente de confirmation mail
    Profil pro
    Inscrit en
    Décembre 2010
    Messages
    555
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2010
    Messages : 555
    Points : 1 597
    Points
    1 597
    Par défaut
    Citation Envoyé par MaximePalmisano Voir le message
    C'est le premier truc qui m'est venu a l'esprit. Je pense que la meilleure parade est de secouer le portable dans tous les sens quand on tape un code confidentiel. Je sens qu'on va avoir l'air malin à taper son PIN dans les transports en commun ...
    Ou simplement le poser pour éviter d'utiliser l'accéléromètre.
    L'affiche est moins flagrante ainsi

  8. #8
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Tourneur Fraiseur
    Inscrit en
    Avril 2002
    Messages
    4 552
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Tourneur Fraiseur

    Informations forums :
    Inscription : Avril 2002
    Messages : 4 552
    Points : 15 463
    Points
    15 463
    Par défaut
    Le principe est intéressant en soi, mais ces chercheurs ont quelques années de retard : le problème est connu depuis très longtemps maintenant.

    J'ai vu des POC sur Android sur l'utilisation de accéléromètre pour deviner les chiffre saisi, il y a au moins deux ans, et ils étaient arrivés à la même conclusion que celui-ci : c'est très efficace avec le clavier numérique, absolument pas pour le clavier alphabétique..

  9. #9
    Nouveau membre du Club
    Profil pro
    Inscrit en
    Août 2008
    Messages
    24
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Août 2008
    Messages : 24
    Points : 29
    Points
    29
    Par défaut
    Ou de retourner le téléphone xD

    EDIT : ou pas, suffit juste de vérifier si le téléphone a été retourné avec l'accéléromètre xD

  10. #10
    Nouveau Candidat au Club
    Inscrit en
    Août 2010
    Messages
    3
    Détails du profil
    Informations forums :
    Inscription : Août 2010
    Messages : 3
    Points : 1
    Points
    1
    Par défaut
    Citation Envoyé par Gordon Fowler Voir le message
    Faut-il « durcir » l’accès à l’accéléromètre et aux différentes capteurs des smartphones ?
    Il y a plus simple a mon avis, pourquoi ne pas simplement désactiver temporairement l’accéléromètre pendant l'accès au clavier numérique.

  11. #11
    Membre expérimenté
    Homme Profil pro
    Développeur Web
    Inscrit en
    Juillet 2009
    Messages
    420
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Juillet 2009
    Messages : 420
    Points : 1 471
    Points
    1 471
    Par défaut
    Citation Envoyé par Dnadiz Voir le message
    Il y a plus simple a mon avis, pourquoi ne pas simplement désactiver temporairement l’accéléromètre pendant l'accès au clavier numérique.
    Ça empêcherai le switch de l'interface en mode paysage/portrait non ?

    Et puis une interface de saisie de chiffre n'est pas obligatoirement un "clavier"

  12. #12
    Modérateur
    Avatar de gangsoleil
    Homme Profil pro
    Manager / Cyber Sécurité
    Inscrit en
    Mai 2004
    Messages
    10 148
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Manager / Cyber Sécurité

    Informations forums :
    Inscription : Mai 2004
    Messages : 10 148
    Points : 28 113
    Points
    28 113
    Par défaut
    Belle POC, qui montre bien a quel point les constructeurs n'ont absolument pas reflechi aux implications de ce qu'ils faisaient.

    Aujourd'hui, on commence a voir deux camps emerger : ceux qui disent "Bah ouais, mais moi j'men fou", et ceux qui pensent que le respect de la vie privee et des informations qui en decoulent est important.
    Malheureusement, FB et Google sont bien orientes vers la premiere categorie.
    "La route est longue, mais le chemin est libre" -- https://framasoft.org/
    Les règles du forum

  13. #13
    Membre émérite
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Décembre 2008
    Messages
    832
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Décembre 2008
    Messages : 832
    Points : 2 625
    Points
    2 625
    Par défaut
    Citation Envoyé par Uther Voir le message
    Le principe est intéressant en soi, mais ces chercheurs ont quelques années de retard : le problème est connu depuis très longtemps maintenant.

    J'ai vu des POC sur Android sur l'utilisation de accéléromètre pour deviner les chiffre saisi, il y a au moins deux ans, et ils étaient arrivés à la même conclusion que celui-ci : c'est très efficace avec le clavier numérique, absolument pas pour le clavier alphabétique..
    A priori, ce n'est pas nié dans cet article. Ce qui pose vraiment problème ici, c'est simplement que le taux de réussite est extrêmement élevé.
    Au final, cette preuve de faisabilité n’est pas la première à utiliser ce type de technique. Mais elle est une des plus efficaces avec des taux de réussites tournant autour des 90 %.
    Quant au rapport à la vie privée...
    Bah, je pense que quand les gens verront leurs comptes en banque se vider sans comprendre pourquoi ils s'interrogeront sur ces petits appareils magiques qui leur permettent d'interagir avec leur banque dans des conditions complètement malsaines.
    Ou pas, puisqu'ils se diront "la banque s'est encore plantée". Enfin, je constate que les gens se remettent de moins en moins en cause, et je ne parle pas de remettre en cause leur usage des technologie.
    De nos jours, on a l'impression (en tout cas, c'est ce que JE ressens) que les NTIC nous donnent des possibilités sans contre partie, parce que "c'est virtuel". (cela dis, ceci est un autre débat)

    Cela dis, c'est une excellente chose, les employés de banque doivent se sentir plus à l'abri, il n'y a plus besoin de les attaquer avec un armement de dingue, il suffit de coller une saloperie sur le téléphone de quelqu'un au cours d'une soirée arrosée
    C'est un grand pas vers la diminution de la violence, on devrait leur filer un prix à ces constructeurs de trucphone...

  14. #14
    Membre extrêmement actif
    Profil pro
    Développeur
    Inscrit en
    Mars 2012
    Messages
    1 969
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeur
    Secteur : Communication - Médias

    Informations forums :
    Inscription : Mars 2012
    Messages : 1 969
    Points : 3 375
    Points
    3 375
    Par défaut
    bonne invention

    c'est bien beau vos manip mais s'il y a un keylogger installé, la protection sera facilement contournée.

    Edit: en fait c'est déjà un keylogger
    Si la réponse vous a aidé, pensez à cliquer sur +1

  15. #15
    Membre du Club
    Profil pro
    developpeur
    Inscrit en
    Juin 2009
    Messages
    57
    Détails du profil
    Informations personnelles :
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : developpeur

    Informations forums :
    Inscription : Juin 2009
    Messages : 57
    Points : 67
    Points
    67
    Par défaut
    on ne parle pas ici de windows phone !!!!!!

    microsoft fait le jeux

  16. #16
    Membre éclairé
    Inscrit en
    Mai 2010
    Messages
    297
    Détails du profil
    Informations forums :
    Inscription : Mai 2010
    Messages : 297
    Points : 878
    Points
    878
    Par défaut
    Citation Envoyé par Freem Voir le message
    A priori, ce n'est pas nié dans cet article. Ce qui pose vraiment problème ici, c'est simplement que le taux de réussite est extrêmement élevé.


    Quant au rapport à la vie privée...
    Bah, je pense que quand les gens verront leurs comptes en banque se vider sans comprendre pourquoi ils s'interrogeront sur ces petits appareils magiques qui leur permettent d'interagir avec leur banque dans des conditions complètement malsaines.
    Ou pas, puisqu'ils se diront "la banque s'est encore plantée". Enfin, je constate que les gens se remettent de moins en moins en cause, et je ne parle pas de remettre en cause leur usage des technologie.
    De nos jours, on a l'impression (en tout cas, c'est ce que JE ressens) que les NTIC nous donnent des possibilités sans contre partie, parce que "c'est virtuel". (cela dis, ceci est un autre débat)

    Cela dis, c'est une excellente chose, les employés de banque doivent se sentir plus à l'abri, il n'y a plus besoin de les attaquer avec un armement de dingue, il suffit de coller une saloperie sur le téléphone de quelqu'un au cours d'une soirée arrosée
    C'est un grand pas vers la diminution de la violence, on devrait leur filer un prix à ces constructeurs de trucphone...
    et attendons de voir tout ce qu'on va pouvoir faire comme bétise avec le NFC
    "«Les petites filles sont des punks»."

  17. #17
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Tourneur Fraiseur
    Inscrit en
    Avril 2002
    Messages
    4 552
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Tourneur Fraiseur

    Informations forums :
    Inscription : Avril 2002
    Messages : 4 552
    Points : 15 463
    Points
    15 463
    Par défaut
    Citation Envoyé par Freem Voir le message
    A priori, ce n'est pas nié dans cet article. Ce qui pose vraiment problème ici, c'est simplement que le taux de réussite est extrêmement élevé.
    Certes l'article ne nie pas cela mais je trouve injuste de présenter ça en grande pompe, alors que les POC précédents avaient des taux de réussite peut-être légèrement inférieur, mais dans le même ordre de grandeur(très supérieurs à 50%).
    Il ne s'agit que d'une amélioration mineure de l'algorithme de détection qui se fait au dépend d'une phase de calibrage, qu'il faut déguiser. Pour moi, ça serait même plutôt une régression.

    Citation Envoyé par Freem Voir le message
    Quant au rapport à la vie privée...
    Bah, je pense que quand les gens verront leurs comptes en banque se vider sans comprendre pourquoi ils s'interrogeront sur ces petits appareils magiques qui leur permettent d'interagir avec leur banque dans des conditions complètement malsaines.
    Si ce souci était si facile a exploiter que cela il aurait été corrigé depuis longtemps. Il y a pas mal de raisons qui font que ça ne fonctionne pas dans la pratique. La principale est que l'application espionne ne sait pas quelle application est utilisée à un instant T et quand le clavier numérique est activé ou pas. 99.9% de ce qui est enregistré est du bruit.

  18. #18
    Membre extrêmement actif

    Profil pro
    Grand Timonier des Chats
    Inscrit en
    Décembre 2011
    Messages
    879
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Grand Timonier des Chats

    Informations forums :
    Inscription : Décembre 2011
    Messages : 879
    Points : 3 302
    Points
    3 302
    Par défaut
    Je ne suis pas sûr que mon bidulephone arrive à detecter la bascule en mode paysage 90% des fois, alors les touches...

    Le taux de réussite de leur PoC est peut-être lié au modèle de trucphone qu'ils ont choisit pour leurs essais.

  19. #19
    Membre à l'essai
    Inscrit en
    Mai 2004
    Messages
    9
    Détails du profil
    Informations forums :
    Inscription : Mai 2004
    Messages : 9
    Points : 22
    Points
    22
    Par défaut
    @MiaowZedong : ça dépend aussi (et plus probablement) de la qualité de l'implémentation du software destiné à gérer cette bascule

    Après on connait depuis assez longtemps les pads numériques à disposition aléatoire, ça serait une réponse assez cheap mais efficace à ce type d'attaque, très créative au demeurant
    Edit : ah, déjà dit

  20. #20
    Membre chevronné
    Avatar de Pelote2012
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Mars 2008
    Messages
    925
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France, Haute Vienne (Limousin)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mars 2008
    Messages : 925
    Points : 1 839
    Points
    1 839
    Billets dans le blog
    2
    Par défaut
    Pour contourner cela, il ya plusieurs idées simples :
    - ne pas mettre les chiffres dans le même ordre (un peu casse pied) selon l'importance de l'appli (comme accès aux comptes de la caisse d'épargne...)
    - rajouter des lettres, ça complique mais d'un autre côté les codes d'accès sont plus sécurisés
    - ... et certinement d'autres méthodes
    Ce genre d'astuce sont déjà utilisés sur le net actuellement.
    La qestion est faut-il sécurisé l'appareil où l'appli. Je pencherai plus pour l'appli. Car s'appuyer sur la sécurité des autres n'est pas terrible comme idée.
    Mais, je pense aussi que la politique du "je m'en fou" de ces POC finira par leur retomber dessus tôt ou tard
    Si débugger est l'art d'enlever les bugs ... alors programmer est l'art de les créer

Discussions similaires

  1. Réponses: 157
    Dernier message: 30/12/2010, 16h24
  2. Réponses: 0
    Dernier message: 28/04/2010, 19h21
  3. Réponses: 15
    Dernier message: 02/04/2010, 13h09
  4. Réponses: 12
    Dernier message: 02/03/2010, 15h53
  5. Réponses: 6
    Dernier message: 04/01/2010, 16h19

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo